这取决于你想对那个团队做什么。Sourcefire 有几个人在核心引擎上工作，一些人在插件上工作，还有一个漏洞研究团队编写规则——其中一些人以前没有入侵检测方面的经验；只是利用写作和倒车。

相比之下，我最熟悉的设置使用像许多服务提供商一样的简单分层系统。初级分析师实时监控并查看日志；高级分析师负责处理模棱两可的情况并编写在当地有用的规则。

如果不了解更多有关您的设置的信息，这很难说。我可能会先将 IDS 团队划分为所涵盖的职能领域，

• 网络 IDS，包括防火墙监控
• 基于主机的 IDS - 与变更管理集成
• 技术审核
• 数据完整性 - 监控您的应用程序数据是否存在异常

很大程度上取决于您的职权范围——因此技术审计可能包括代码审查和开发标准以及架构审查和渗透测试。

衡量成功是一个更棘手的问题 - 理想情况下没有问题可以找到。OTOH 每个月都告诉你的豆类柜台你没有发现任何问题，这不利于维持你的预算。但从战略角度来看，您需要考虑量化漏洞的影响，以便进行适当的风险/收益分析。在此之后，您可以开始组建临时团队，根据项目类型查看特定的风险领域。

IME，并且取决于您组织的规模，这适用于一小部分安全专家核心小组和来自其他领域的增选成员（例如 DBA、开发人员、网络工程师、用户），而不是试图维持高水平的核心团队的专业知识。

高温高压